US-Behörden müssen Log4j bis Weihnachten patchen
Eine noch zu erstellende Liste der CISA von betroffenen Produkten soll helfen, die Systeme abzusichern. Bis Heiligabend haben US-Behörden dafür Zeit.
Die CISA, eine dem Department of Homeland Security (DHS) unterstellte US-Sicherheitsbehörde, analysiert die Bedrohungslage im Bereich IT-Sicherheit und berät US-Behörden, wie diese sich vor Cyberbedrohungen schützen können. Die Behörde ist zudem mit Weisungsbefugnissen ausgestattet. Letztere nutzt sie nun, um den US-Behörden das Abdichten der Log4Shell-Sicherheitslücke bis Heiligabend ins Pflichtenheft zu schreiben.
Für hilfreiche Hinweise und Anleitungen hat die CISA eine eigene Webseite aufgesetzt. Die Seite Apache Log4j Vulnerability Guidance liefert allgemeine Informationen zum Umgang mit der Schwachstelle. In einem eigenen github-Repository will die Sicherheitsbehörde laufend aktualisierte Informationen wie Hersteller-Sicherheitsmeldungen zum Log4j-Sicherheitsdebakel sammeln. So entsteht eine lange Liste an von der Schwachstelle betroffenen Produkten. Zumindest theoretisch, zum Zeitpunkt der Artikelerstellung war die Auflistung noch leer.
Sportlicher Zeitrahmen
Noch rund zehn Tage, um Log4j abzudichten – das klingt zunächst nach viel Zeit. Allerdings kann das Aktualisieren auf eine neue Software-Version erhebliche Nebenwirkungen haben, sodass etwa Dienste oder Server anschließend nicht mehr korrekt funktionieren. Der Zeitplan ist vor dem Hintergrund, dass solche Aktualisierungen zunächst getestet werden müssten und oftmals Expertise vor Ort benötigen, also tatsächlich eng.
Andererseits laufen derzeit bereits zahlreiche Angriffe auf verwundbare Systeme. Es kann daher eigentlich nicht schnell genug gehen mit den Updates. Es wurden längst noch nicht alle Produkte, Server und Dienste identifiziert, die von der Log4Shell-Sicherheitslücke betroffen sind. Die Bedrohungslage ist real, die Cybergangs rüsten sich und scannen das Internet auf verwundbare Systeme ab – das berichten mehrere IT-Sicherheitsunternehmen übereinstimmend. Größere Ausfälle stehen zu befürchten. Darin sind sich IT-Sicherheitsexperten derzeit einig.
Das heise-Security-Webinar "Die Log4j-Lücke – der Praxis-Ratgeber für Admins" am Montag kommender Woche, 20. Dezember 2021 um 11:00 Uhr erklärt, wie Sie Ihr Unternehmen aus der Schusslinie bringen können.
(dmk)
